Qu'est-ce que l'accès réseau Zero Trust (ZTNA) ?

L'accès réseau Zero Trust (ZTNA) est la technologie qui permet aux organisations de mettre en œuvre un modèle Zero Trust security.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la Zero Trust et le ZTNA
  • Expliquer le fonctionnement de l'architecture ZTNA
  • Comparaison entre ZTNA et VPN

Copier le lien de l'article

Qu'est-ce que ZTNA ?

Zero Trust Network Access (ZTNA) est la technologie qui permet de mettre en œuvre un modèle de sécurité Zero Trust. « Zero Trust » est un modèle de sécurité informatique qui part du principe que les menaces sont présentes à l'intérieur comme à l'extérieur d'un réseau. Par conséquent, Zero Trust exige une vérification stricte pour chaque utilisateur et chaque appareil avant de les autoriser à accéder aux ressources internes.

ZTNA est similaire à l'approche du contrôle d'accès du périmètre défini par logiciel (SDP). Dans le ZTNA, comme dans le SDP, les appareils connectés n'ont pas connaissance de ressources (applications, serveurs, etc.) sur le réseau autres que celles auxquelles ils sont connectés.

Imaginez un scénario dans lequel chaque habitant reçoit un annuaire contenant les numéros de téléphone de tous les autres habitants de sa ville, et où chacun peut composer n'importe quel numéro pour contacter n'importe quelle autre personne. Imaginez maintenant un scénario dans lequel chacun a un numéro de téléphone non répertorié et où un résident doit connaître le numéro de téléphone d'un autre résident pour l'appeler. Ce deuxième scénario offre quelques avantages : pas d'appels indésirables, pas d'appels accidentels à la mauvaise personne et pas de risque que des personnes peu scrupuleuses utilisent l'annuaire de la ville pour tromper ou escroquer les résidents.

ZTNA ressemble au deuxième scénario. Mais au lieu de numéros de téléphone, ZTNA utilise des adresses IP « non répertoriées », des applications et des services. Il établit des connexions individuelles entre les utilisateurs et les ressources dont ils ont besoin, comme lorsque deux personnes qui doivent se contacter échangent des numéros de téléphone. Mais contrairement à deux personnes qui échangent des numéros, les connexions ZTNA doivent être revérifiées et recréées périodiquement.

ZTNA et VPN

Les réseaux privés virtuels (VPN) sont ce que de nombreuses organisations utilisent pour contrôler l'accès au lieu de ZTNA. Une fois que les utilisateurs sont connectés à un VPN, ils ont accès à l'ensemble du réseau et à toutes les ressources de ce réseau (c'est ce qu'on appelle souvent le modèle « castle-and-moat » ). Au lieu de cela, ZTNA n'accorde que l'accès à l'application spécifique demandée et refuse par défaut l'accès aux applications et aux données.

Il existe également des différences entre le ZTNA et les VPN sur le plan technique. Voici quelques-unes de ces différences :

  1. Couche du modèle OSI : de nombreux VPN fonctionnent sur le protocole IPsec à la couche 3, la couche réseau dans le modèle OSI . ZTNA fonctionne généralement sur la couche d'application . (Certains VPN fonctionnent sur la couche application en utilisant le protocole TLS pour le chiffrement au lieu d'IPsec ; ZTNA a généralement une approche similaire).
  2. Installation du logiciel sur les terminaux : les VPN IPsec nécessitent l'installation d'un logiciel sur tous les appareils des utilisateurs. C'est parfois le cas pour ZTNA, mais pas toujours.
  3. Matériel : les VPN nécessitent souvent l'utilisation de serveurs VPN sur site, et les appareils des utilisateurs se connectent à ces serveurs, généralement en passant par le pare-feu périmétrique de leur organisation. Le ZTNA peut être configuré de cette manière, mais il est le plus souvent fourni par le biais du cloud, ce qui permet aux utilisateurs de se connecter de n'importe où sans affecter les performances du réseau.
  4. Niveau de connectivité : le VPN établit des connexions cryptées un à un entre le dispositif d'un utilisateur et une application ou un serveur donné. Les VPN donnent aux utilisateurs un accès crypté à tout un réseau LAN en une seule fois. Si l'adresse IP d'un utilisateur se connecte au réseau, elle peut se connecter à toutes les adresses IP de ce réseau.

Enfin, les VPN sont imprécis, traitant largement les utilisateurs et les appareils de la même manière, indépendamment de l'endroit où ils se trouvent et de ce à quoi ils doivent accéder. Les approches BYOD (bring your own device) devenant de plus en plus courantes, il est dangereux d'autoriser cet accès, car tout point d'extrémité compromis par un logiciel malveillant peut alors infecter tout un réseau. Pour ces raisons, les VPN sont souvent la cible d'attaques.

Comment fonctionne le ZTNA ?

ZTNA est configuré de manière légèrement différente par chaque organisation ou fournisseur. Cependant, plusieurs principes sous-jacents restent cohérents dans toutes les architectures ZTNA :

  • Accès aux applications vs accès au réseau : ZTNA traite l'accès aux applications séparément de l'accès au réseau. La connexion à un réseau ne donne pas automatiquement à un utilisateur le droit d'accéder à une application.
  • Adresses IP cachées : ZTNA n'expose pas les adresses IP au réseau. Le reste du réseau reste invisible pour les appareils connectés, à l'exception de l'application ou du service auquel ils sont connectés.
  • Sécurité des dispositifs : ZTNA peut intégrer le risque et le niveau de sécurité des dispositifs comme facteurs dans les décisions d'accès. Pour ce faire, il exécute un logiciel sur le périphérique lui-même (voir « ZTNA basé sur un agent ou sur un service » ci-dessous) ou analyse le trafic réseau en provenance et à destination du périphérique.
  • Facteurs supplémentaires : contrairement au contrôle d'accès traditionnel, qui n'accorde l'accès qu'en fonction de l'identité et du rôle de l'utilisateur, le ZTNA peut évaluer les risques associés à des facteurs supplémentaires tels que la localisation de l'utilisateur, le moment et la fréquence des demandes, les applications et les données demandées, etc. Un utilisateur peut se connecter à un réseau ou à une application, mais si son appareil n'est pas fiable, l'accès lui est refusé.
  • Pas de MPLS : ZTNA utilise des connexions Internet cryptées sur TLS au lieu de connexions WAN basées sur MPLS. Les réseaux d'entreprise traditionnels sont construits sur des connexions MPLS privées. ZTNA est construit sur l'Internet public et utilise le chiffrement TLS pour préserver la confidentialité du trafic réseau. ZTNA établit de petits tunnels chiffrés entre un utilisateur et une application, au lieu de connecter un utilisateur à un réseau plus vaste.
  • IdP et SSO : La plupart des solutions ZTNA s'intègrent à des plateformes distinctes de fournisseurs d'identité (IdP) , single sign-on (SSO) ou les deux. Le SSO permet aux utilisateurs d'authentifier leur identité pour toutes les applications ; l'IdP stocke l'identité de l'utilisateur et détermine les privilèges associés.
  • Agent et service : ZTNA peut soit utiliser un agent de point final, soit être basé dans le cloud. La différence est expliquée ci-dessous.

ZTNA basé sur les agents et ZTNA basé sur les services

Le ZTNA basé sur un agent nécessite l'installation d'une application logicielle appelée « agent » sur tous les dispositifs endpoint .

Basé sur un service ou sur le cloud, ZTNA est un service cloud plutôt qu'une application de point final. Il ne nécessite pas l'utilisation ou l'installation d'un agent.

Les organisations qui cherchent à mettre en œuvre une philosophie Zero Trust doivent réfléchir au type de solution ZTNA qui répond le mieux à leurs besoins. Par exemple, si une organisation est préoccupée par un mélange croissant de dispositifs gérés et non gérés, la solution ZTNA basée sur les agents peut être une option efficace. Par contre, si une organisation se concentre principalement sur le verrouillage de certaines applications Web, le modèle basé sur les services peut être déployé rapidement.

Une autre considération est que le ZTNA basé sur les services peut s'intégrer facilement aux applications cloud, mais pas aussi facilement à l'infrastructure sur site. Si l'ensemble du trafic réseau doit passer des dispositifs d'extrémité sur site au cloud, puis revenir à l'infrastructure sur site, les performances et la fiabilité pourraient être considérablement affectées.

Quelles sont les autres considérations importantes concernant la solution ZTNA ?

Spécialisation du fournisseur : parce que la gestion des identités et des accès (IAM), les services réseau et la sécurité réseau sont traditionnellement séparés, la plupart des fournisseurs ZTNA se spécialisent généralement dans l'un de ces domaines. Les organisations doivent rechercher un fournisseur dont le domaine de spécialisation correspond à leurs besoins, ou un fournisseur qui combine les trois domaines en une seule solution cohérente.

Niveau de mise en œuvre : certaines organisations peuvent avoir déjà investi dans des technologies adjacentes pour supporter une stratégie de Zero Trust (par exemple, des fournisseurs d'IdP ou de protection des points de terminaison), tandis que d'autres peuvent avoir besoin de construire toute leur architecture ZTNA à partir de zéro. Les fournisseurs ZTNA peuvent proposer des solutions ponctuelles pour aider les organisations à compléter leurs déploiements ZTNA, à créer des architectures ZTNA complètes, ou les deux.

Prise en charge des applications patrimoniales : de nombreuses entreprises ont encore des applications patrimoniales sur site qui sont essentielles à leur activité. Comme il fonctionne sur Internet, ZTNA prend facilement en charge les applications cloud, mais peut nécessiter une configuration supplémentaire pour prendre en charge les applications patrimoniales.

Intégration IdP : de nombreuses organisations ont déjà un IdP en place. Certains fournisseurs de ZTNA ne travaillent qu'avec certains IdP, obligeant leurs clients à migrer leur base de données d'identité pour utiliser leur service. D'autres sont agnostiques vis-à-vis des IdP — ils peuvent s'intégrer à n'importe quel IdP.

Comment démarrer avec ZTNA

Cloudflare propose une solution ZTNA construite sur le réseau périphérique mondial de Cloudflare pour des performances rapides. Voir la page de la solution ZTNA.

Pour de plus amples informations sur la philosophie de la confiance zéro, voir notre article sur la sécurité Zero Trust.

Service commercial